L'insécurité des Objets Connectés dans les SIH

1
1477

Les dispositifs médicaux ont toujours tenu une place importante dans nos établissements de santé.
Avec la généralisation du DPI (Dossier Patient Informatisé), tous les dispositifs médicaux « Informatisés » qui n’étaient pas encore connectés au LAN (réseau informatique local) de l’établissement tendent à le devenir. La remontée de constantes dans le DPI est un gain de temps pour les soignants, les éditeurs spécialisés dans les solutions d’interopérabilité l’ont bien compris et proposent aujourd’hui des « passerelles d’interconnexion » entre les appareils biomédicaux et le DPI.
Or ces appareils utilisent  souvent sur des systèmes d’exploitation plus ou moins obsolètes ou dépassés, c’est le cas pour Windows XP par exemple, à défaut d’avoir été mis à jour ! Il en est de même pour les protocoles, le Telnet beaucoup utilisé à une époque a vite montré ses limites en termes de sécurité.
Nous pouvons dire que ces appareils sont très vulnérables, or il ne faut pas oublier  qu’au-delà du fait qu’ils contiennent des données de santé à caractère personnel, c’est le patient qui est connecté de l’autre côté de l’appareil! C’est notamment le cas avec les pompes à perfusion.
IMPORTANT:
Tout le monde se rappelle le scandale de l’été dernier suite aux recommandations de la FDA (Food and Drug Administration) aux Etats Unis. Elle déconseille l’utilisation de plusieurs modèles de pompes de la marque Hospira suite à la publication de plusieurs failles de sécurité par l’US-CERT (le département de la sécurité intérieure des Etats Unis), dont une se basant sur le protocole Telnet et une autre sur le protocole FTP (https://ics-cert.us-cert.gov/advisories/ICSA-15-161-01).
Le 21 janvier dernier, une nouvelle faille a été dévoilée sur plusieurs modèles de pompes de cette même marque (https://ics-cert.us-cert.gov/advisories/ICSA-15-337-02). Il est vivement recommandé de désactiver les protocoles de communication et d’isoler les appareils dans un VLAN (réseau virtuel) dédié, comme le recommande le fabricant. Ceci est valable pour tous les appareils biomédicaux. Mais cette marche à suivre n’est pas toujours respectée, certains imprudents connectent ces DM (dispositifs médicaux) à Internet.
A titre d’exemple, certains moteurs de recherche donnent un accès publique aux inventaires de matériels informatiques les plus référencés.
Une telle plateforme qui met à la disposition des soignants et médecins les outils homologués les mieux adaptés à leurs besoins, représente une “épée de Damoclès” car ces outils, une fois déployés et installés dans un établissement de santé, sont connectés à internet via le port 23 de l’outil de communication réseau Telnet.
Il est alors facile de s’apercevoir que ce protocole daté et victime de bien des attaques depuis plusieurs années, représente “un cheval de Troie” pour les objets médicaux “connectés”. Il est donc déjà possible de recueillir des données personnelles et confidentielles de tous les patients qui y ont été connectés.
Je rappelle que ces informations sont accessibles à tous sur Internet sans avoir à effectuer un quelconque piratage ni même utiliser le réseau TOR (réseau Internet mondial « parallèle » et anonyme utilisé par de nombreux cybercriminels).
Les Etats Unis réagissent, la FDA (Food and Drug Administration) vient de publier un document intitulé Postmarket Management of Cybersecurity in Medical Devices dans lequel elle décrit les recommandations que doivent suivre les fabricants de dispositifs médicaux afin de résoudre les risques en matière de cybersécurité. Voir l’article de Damien Bancal : http://www.datasecuritybreach.fr/securite-informatique-recommandation-pour-les-fabricants-de-dispositifs-medicaux/. Guillaume Poupard, Directeur de l’ANSSI Agence Nationale de la Sécurité des Systèmes d’Information s’est récemment exprimé à l’occasion du Forum International de la Cybersécurité, alertant sur de possibles décès dûs aux failles dans les objets connectés.
Le phénomène pourrait bien s’amplifier si nous restons les bras croisés.
Pour notre sécurité à tous, espérons que l’Europe suive le mouvement et impose des règles en matière de cybersécurité pour l’application du marquage CE sur les dispositifs médicaux. En attendant c’est à nous, professionnels du système d’information de santé, d’adopter les bonnes pratiques et de faire passer le message.
En attendant le prochain billet, restez vigilants !
charles-blanc-rolin
Charles BLANC ROLIN
RSSI – CH de Saint-Flour
http://www.forum-sih.fr

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here